Le Hamas utilise une porte dérobée Rust pour cibler Israël

SysJoker a été documenté publiquement en janvier 2022 par Intezer.

 » L’utilisation de OneDrive pour récupérer l’adresse cryptée et codée du serveur C2, qui est ensuite analysée pour extraire l’adresse IP et le port à utiliser.
L’utilisation de OneDrive permet aux attaquants de changer facilement l’adresse C2, ce qui leur permet d’avoir une longueur d’avance sur les différents services basés sur la réputation », a déclaré Check Point. « Ce comportement reste cohérent entre les différentes versions de SysJoker ».

Après avoir établi des connexions avec le serveur, l’artefact attend d’autres charges utiles supplémentaires qui sont ensuite exécutées sur l’hôte compromis. L’entreprise de cybersécurité a déclaré avoir également découvert deux échantillons inédits de SysJoker conçus pour Windows qui sont nettement plus complexes, l’un d’entre eux utilisant un processus d’exécution en plusieurs étapes pour lancer le logiciel malveillant.

SysJoker n’a pas encore été officiellement attribué à un acteur ou à un groupe de menace. Mais des preuves récemment recueillies montrent des chevauchements entre des échantillons de portes dérobées et de logiciels malveillants utilisés dans le cadre de l’opération Electric Powder, qui fait référence à une campagne ciblée contre des organisations israéliennes entre avril 2016 et février 2017.

Cette activité a été liée par McAfeo à un acteur de la menace affilié au Hamas connu sous le nom de Molerats (alias Extreme Jackal , Gaza Cyber Gang , et TA402 ).

« Les deux campagnes ont utilisé des URL sur le thème de l’API et ont mis en œuvre des commandes de script de manière similaire », a noté Check Point, ce qui soulève la possibilité que « le même acteur soit responsable des deux attaques, malgré l’écart important entre les opérations ».